La guerre moderne fait désormais des infrastructures civiles une cible prioritaire, imposant une convergence coûteuse entre la sécurité des entreprises et la sécurité nationale.
Les 32 pays de l'OTAN ont accepté l'année dernière de consacrer 1,5 % de leur production économique à la protection des infrastructures critiques, alors que la guerre menée par l'Iran contre les biens civils — des raffineries de pétrole aux centres de données d'Amazon — brouille la frontière entre sécurité des entreprises et sécurité nationale.
« Nous avons été trop longtemps gâtés par la paix », a déclaré Norman Heit, directeur mondial de la sécurité et de la résilience d'entreprise chez Vodafone. « Les gens ne réalisent pas que la sécurité physique des entreprises est un bien public, au même titre que la défense. »
Dans son conflit avec les États-Unis et Israël, l'Iran a frappé des raffineries de pétrole, des installations pétrochimiques, des usines de dessalement d'eau et des centres de données d'Amazon dans tout le golfe Persique. Des hackers présumés russes ont manipulé à distance les vannes d'un barrage hydroélectrique norvégien l'année dernière, tandis que les autorités américaines ont averti en avril que des hackers iraniens ciblaient les systèmes d'eau potable américains. Ces attaques reflètent une évolution plus large : les centrales électriques ukrainiennes, les services publics américains et les câbles sous-marins de la mer Baltique à Taïwan sont tous devenus des cibles en temps de guerre.
Le coût du durcissement des actifs privés — renforcement des centres de données avec du béton armé, relocalisation des usines de dessalement sous terre, duplication des réseaux critiques — se chiffrera en milliards de dollars, et les débats font déjà rage entre entreprises et gouvernements sur l'identité de celui qui devra payer.
Le nouveau calcul de la défense
L'engagement de l'Organisation du Traité de l'Atlantique Nord, qui s'inscrit dans un pacte plus large visant à consacrer 5 % du PIB à la défense et à la sécurité, dirige des fonds vers des besoins connexes à l'armée, notamment la cybersécurité, la capacité industrielle, les chemins de fer, les ponts et les ports nécessaires à la logistique militaire. Les progrès sur ces efforts seront au centre des préoccupations lorsque les dirigeants se réuniront mardi pour un sommet de l'OTAN en Turquie.
« Nous avons besoin d'un concept large de la défense — la défense n'est plus seulement militaire », a déclaré l'amiral italien Giuseppe Cavo Dragone, conseiller militaire en chef de l'OTAN.
Cet objectif de dépenses intervient alors que les entreprises font face à une surface d'attaque en pleine expansion. Les hackers ciblent de plus en plus non seulement les fichiers informatiques, mais aussi les systèmes gérant des fonctions vitales comme le contrôle d'accès aux bâtiments et la gestion des usines, causant des dommages physiques à distance. « Les attaques numériques contre des systèmes physiques créent des problèmes physiques », a déclaré Gianni Cuozzo, PDG d'Exein, une entreprise italienne de cybersécurité.
Noel Hacegaba, directeur général du port de Long Beach en Californie — qui traite 300 milliards de dollars de marchandises par an — a lancé un centre d'opérations de cyberdéfense en mai pour contrer des dizaines de milliers d'attaques quotidiennes. « Il y a cinq ans, la sécurité portuaire concernait principalement les personnes et le fret. Aujourd'hui, il s'agit à la fois des personnes, du fret, des logiciels, du matériel et de l'espace aérien », a-t-il déclaré.
Qui supporte le coût ?
En Allemagne, de puissantes associations industrielles représentant des entreprises privées et des services publics municipaux ont résisté aux nouvelles normes de protection physique, avertissant qu'elles pourraient entraîner une ruine financière. Le gouvernement néo-zélandais a fait face à une opposition concernant une proposition visant à infliger des amendes aux entreprises d'infrastructures critiques et à leurs dirigeants pour les violations de cybersécurité.
« Le propriétaire privé peut investir dans la redondance, la surveillance et la capacité de réparation, mais seuls les gouvernements et les militaires peuvent vraiment dissuader, patrouiller, attribuer ou répondre à une activité étatique hostile », a déclaré Marc Glasser, qui a travaillé sur la cybersécurité et la sécurité des infrastructures pendant trois décennies au ministère américain des Transports et au ministère de la Sécurité intérieure.
L'Union européenne a adopté de nouvelles réglementations après l'invasion à grande échelle de l'Ukraine par la Russie, exigeant des pays qu'ils réduisent leurs vulnérabilités, bien que de nombreux États soient en retard sur les évaluations nationales des risques prévues ce mois-ci. Le Royaume-Uni a proposé de nouvelles lois pour alourdir les sanctions en cas de sabotage sous-marin, mettant à jour des codes datant du XIXe siècle. Aux États-Unis, l'Agence de cybersécurité et de sécurité des infrastructures, créée en 2018, a vu son budget et ses effectifs diminuer ces dernières années.
Des frappes de drones iraniens en mars ont détruit des centres de données aux Émirats arabes unis et à Bahreïn utilisés pour les services bancaires et d'autres fins commerciales. Ils restent hors service, faisant partie d'une série de signes d'alerte alors que la dépendance croissante à l'intelligence artificielle rend les centres de données indispensables. « Il vaut mieux tirer ces leçons maintenant que plus tard », a déclaré Sam Winter-Levy, chercheur au programme Technologie et Affaires internationales du Carnegie Endowment for International Peace.
La plupart des gouvernements n'offrent pas d'incitations aux entreprises pour qu'elles investissent au-delà des exigences minimales légales de résilience, ce qui signifie que les entreprises qui peuvent se permettre d'investir mettront en avant la résilience comme un avantage concurrentiel. « Si l'on attend des entreprises qu'elles soutiennent l'État pour protéger les infrastructures critiques, elles doivent être incitées à le faire », a déclaré Heit. Vodafone et huit autres entreprises de télécommunications ont appelé l'année dernière les autorités européennes et l'OTAN à renforcer le soutien public et la coordination dans la protection des câbles sous-marins.
Les dernières efforts font écho à la réponse aux attaques du 11 septembre 2001, lorsque les aéroports, conçus pour l'efficacité, ont bouleversé leurs opérations pour donner la priorité à la sécurité. Les États-Unis ont restructuré le gouvernement fédéral et injecté des centaines de milliards de dollars dans la sécurité intérieure. Aujourd'hui, presque tous les types d'installations sont des cibles potentielles — et personne n'a réglé la facture.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.